一、中小企业

《中华人民共和国中小企业促进法》第二条“本法所称中小企业，是指在中华人民共和国境内依法设立的有利于满足社会需要，增加就业，符合国家产业政策，生产经营规模属于中小型的各种所有制和各种形式的企业”，国家有关部门据此制定有专门的中小企业划分标准。

对中小企业的扶持恐怕是一个世界性的课题，我国也在不断研究和探索如何扶植中小企业发展壮大，2009年，国务院就专门以国发36号文下发了《关于进一步促进中小企业发展的若干意见》。

本文中 “中小企业”一词并不涉及严格的标准划分，只是泛指规模相对不大、尚未建立或指定专门的商业秘密保护部门的企业，本文针对的也不包括这类企业中应作为国家秘密保护的信息。文中记录的是作者在职业生涯中为企业提供这方面服务时产生的一些想法，希望能为从事这方面工作或有这方面需要的人提供参考。这些想法的产生很大程度上受到前人关于商业秘密研究的成果和著作的启发，同时也得到现在和曾经的很多同事们所给予的指导和帮助，在这里一并表示感谢。

二、商业秘密认定

《反不正当竞争法》第十条对商业秘密下的定义是“本条所称的商业秘密，是指不为公众所知悉、能为权利人带来经济利益、具有实用性并经权利人采取保密措施的技术信息和经营信息”。但对于企业经营者而言，更关心的是自己企业的哪些信息可以而且需要作为商业秘密保护，因此认定商业秘密主要是要解决两个问题：哪些信息可能是商业秘密？如何从中筛选出真正需要作为商业秘密保护的信息？

（一）商业秘密范围

理论上，从企业本身角度出发，只要不是法律规定应当公开的信息，都可以列入商业秘密的范围，但实际上，考虑到成本和效益，商业秘密并不是越多越好。将不应当列入商业秘密范围的信息界定为商业秘密，既加大企业成本，也给保密工作增加不必要的难度。

商业秘密包括技术信息和经营信息。技术信息可以是完整的技术方案、阶段性的技术成果以及有价值的技术数据，也可以是针对特定技术问题的技术诀窍。经营信息体现为在经营商品和提供服务过程中掌握的一种消息来源，能把公司与客户紧密联系在一起，并达到销售产品或提供服务的目的和获取利润的效果。

举例而言，中小企业的商业秘密往往可能存在于下列几个方面：

（一）技术研发类

1、研究开发新技术、新产品的试验研制方案、研制方法，研制过程中的重要资料和阶段性成果；

2、产品的设计方案、设计图纸和关键数据、配方、工艺、测试数据；

3、实验室的建设和配置，研发人员的组成结构、层次、规模；

4、新产品的测试方案，包括测试的方法、时间、地点、数据等。

5、与企业经济利益关系重大的研究开发项目、计划；

6、制定科研发展计划、规划过程中重要的的预测和分析资料。

（二）技术成果及生产类

1、产品的制造技术和关键设备；

2、工艺技术诀窍、原料配方及其生产工艺过程、生产设备；

3、尚未进入市场或尚未申请专利的新产品；

4、消化、吸收引进的技术和设备过程中，公司所作的重大创新改造；

5、尚未公布的产品发展计划、产品结构调整方案；

6、生产计划，产品合格率，新品试制及投产情况；

（三）营销业务类

1、货源渠道及价格，供应商名单及相关信息；

2、营销策略，营销合同，国内外销售市场网络和客户名单；

3、内部核算成本、价格；

4、在对外谈判中的谈判方案、价格底牌及对外询价、报价资料；

5、对外合作时合作方的信息、按照法律规定或合同约定我方应承担保密义务的有关事项；

6、对外招标、投标的标底及方案；

7、法律事务信息及有关法律文件等；

8、尚未公布的近期和远期发展战略、经营策略及其措施。

（四）财务、会计及人力资源类

1、尚未公布的财务预、决算报告及各类财务报表、统计报表；

2、资金状况和债权债务；

3、公司机构设置、工资总额、人事管理、劳动合同、职工收入、个人帐户及相关统计报表；

4、人力资源培训与开发、福利待遇方案。

（二）认定标准

从上面的列举就可以看出，一个企业内可以列入商业秘密范围的信息可谓浩如烟海，如何从中筛选出真正需要保护的商业秘密，就需要一定的标准。

按照《反不正当竞争法》第十条的规定，有人将商业秘密的认定标准归纳为秘密性、价值性、实用性和保密性四个方面，只有同时符合这四个方面条件的信息才能称为商业秘密。从企业外部审视的角度，这样的标准当然没错，但从企业内部维护自身利益的角度，却不能照搬这四个标准，起码保密性就不是企业自身认定商业秘密的标准，没有采取保密措施正说明有加强保护的必要，当然不能因此而否定自己的商业秘密。

一般而言，企业认定本身的商业秘密可以从以下三个方面考虑：

1、基本要求

（1）价值性。保护自身商业秘密的目的在于追求利润，因此首要的要求是要保护的信息有保护的价值。价值体现在能给企业带来经济利益或者竞争优势，既包括现实存在的经济利益及竞争优势，也包括潜在的通过将来使用而体现出来的经济利益及竞争优势。价值性当然包括了实用性，只有能实际运用的客观信息才可能具有价值。

（2）秘密性。商业秘密顾名思义当然应当是秘密的，否则即使是能给企业带来价值的信息也不能作为商业秘密保护。但应当注意的是这里的秘密性是相对的，包括不能从公开渠道直接获得的信息，也包括虽然能够在公开渠道得知、但与本领域的直接联系并不为公众所知的信息。它并不排除本企业以外，还有一些负有保密义务的企业或人知悉该信息，亦不排除其他人用正当合法手段获取该秘密，只要他们不予公开，不使其在同行业内众所周知。

2、反向验证

作为一种辅助手段，企业是否将某一信息界定为本企业的商业秘密，还可以从反向验证，即如果这一信息泄露，是否会造成下列后果之一：

（1）对公司的生产经营和发展造成不良影响；

（2）使公司的经济利益受到损害；

（3）妨害公司的技术发展和进步；

（4）使公司在商业竞争中处于被动或不利地位。

3、是否是最好的方式

即商业秘密保护方式需优于、起码是等于其他知识产权保护方式。这一因素需具体问题具体分析，但也有一些经验法则可供参考：

（1）企业的经营信息适宜采用商业秘密保护；

（2）未完成的技术方案、试验结果、达不到专利要求的技术、生命周期短的技术信息、一旦公开就尚失权利的技术信息宜采用商业秘密保护；

（3）发明专利在公开之前、实用新型和外观设计专利在授权之前，采用商业秘密保护；

（4）容易通过反向工程获取的技术，适宜采用申请专利的保护方式；

（5）符合申请专利条件的，尽可能采用将核心构思作为商业秘密，周边成果申请专利的保护方式。

（6）符合独创性和可复制性要求的商业秘密载体，如图纸、模型、计算机文档等，应注意保存其原始资料，既是商业秘密的有力证据，同时一旦商业秘密泄露，还可考虑以著作权保护来补救。

（三）定密

定密指企业商业秘密密级划分及限定知悉范围，《保守国家秘密法》第九条将国家秘密划分为“绝密”、“机密”和“秘密”三级，这一分级标准可供企业参考。当然，为便于中小企业管理，也可将企业商业秘密划分为两级即可，如“绝密”和“秘密”。无论何种分级方式，一般来说绝密级事项均为涉及公司发展和利益的重大研究项目和重大决策，一般应由企业领导层作出最终认定为宜，其知悉范围也只限于公司主要领导和其直接指定的人。

由于企业商业秘密往往在生产经营过程中产生，所以企业各部门负责人和承担研发任务的项目负责人应当为本部门（项目）商业秘密认定的第一责任人，只有他们才最清楚其接触和掌握的信息中哪些需要商业秘密保护。企业可制定一套流程和相关文件（如《确定密级事项审批表》等），由各部门根据前述商业秘密认定标准初步筛选商业秘密信息并初定密级，确保产生商业秘密的部门及时负起保密义务。

（四）解密

有定密就会有解密，尽管商业秘密不同于国家秘密，不存在国家利益与公众知情权之间的冲突，理论上保密期限多长完全由企业自己决定，但如前所述，已经不必要保密的信息仍然保密，徒增企业负担，而且还会让人对该企业的商业秘密制度产生质疑并进而怀疑其所谓商业秘密是否成立。

1、解密需考虑的因素：

（1）是否已为公众所知悉。

公众所知悉包括：已由媒体所公开、已为同行所广泛使用、已为相关领域技术人员所普遍掌握等。通过对公开产品进行直观或简单的测绘、拆卸等方法即可获得的技术信息，视为公众所知悉。负有保密义务的人知悉该商业秘密不构成为公众所知悉。

（2）是否仍能给企业带来经济利益或者竞争优势，是否使用其他知识产权保护方式优于商业秘密保护方式。

（3）已经作为商业秘密保护的信息是否被证明具有实用性，是否客观存在且切实可行。

（4）是否采取了相应的保密措施，是否使相关人员知晓其掌握或接触的信息为应当保密的信息。

2、解密流程

企业的商业秘密管理单位或保密专员应负责定期对保密事项综合上述因素进行排查，对符合其中第（1）至（3）项而不符合第（4）项的，责成相关部门及时采取相应的保密措施，涉及人为疏忽的追究责任人相应的责任；对已不符合第（1）至（3）项中任一项的，提出解密意见并说明理由，与该保密事项有关的部门会商后报企业主管领导审议决定。

三、商业秘密管理

商业秘密管理要达到的目的有两个：尽量减少泄密；一旦泄密能及时应对并得到法律的保护。

（一）管理架构

视企业规模和实际需要而定，比较上规模的企业可以设置专门的管理委员会或管理小组，规模较小的企业可由公司法务部兼管或仅设置一名保密专员。应注意的是以精简为原则，尽量缩小接触到商业秘密人员的范围；同时无论何种架构，应确保需要时能直接向企业主要负责人汇报，出现突发情况时能及时应对。

专门的管理小组或保密人员的职责主要有：

1、落实保密工作规章制度，完成各项日常任务；

2、贯彻执行公司下发的保密工作文件和保密工作部署；

3、检查并协助各部门负责人完善公司重点岗位的保密规定和措施；

4、检查各部门执行保密工作规章制度的情况，发现问题及时汇报并提出处理意见；

5、配合各部门追查失泄密事件和窃密案件，堵塞失泄密漏洞，并对失泄密事件的责任人按规定提出处理意见或建议；

6、宣传保密知识，使公司员工增强保密观念，遵守保密法规。

分管保密工作的企业负责人的职责主要有：

1、签发公司的保密工作规章制度和有关文件；

2、决定公司商业秘密的密级认定；

3、协调各部门保密工作；

4、审查和批准公司涉密信息的对外发布和交流；

5、听取公司保密工作执行情况和各种存在问题、突发事件的汇报并作出处理决定。

除此以外，企业技术研发、生产、财务、销售等各部门负责人也应负起相应的保密职责，主要有：

1、抓好部门范围内的保密工作，负责初选本部门涉及的商业秘密事项并初定密级；

2、遵守各项保密制度，执行公司关于保密工作的规章和决定，发现问题应及时提出；

3、每年对分管范围内的保密工作至少进行一次自查，并将自查情况形成书面材料上报备案。

（二）保密措施

1、关于保密措施

根据《反不正当竞争法》第十条的规定，是否采取了保密措施是外部认定商业秘密的要件之一，因此这也是企业内部商业秘密保护工作必不可少的内容。但同时常识告诉我们，采取保密措施只能是有限度的，再先进的措施都无法百分百的确保商业秘密不会泄露。毕竟商业秘密本质上是无形的信息，我们可以阻止有形的载体被恶意的扩散，却不可能阻止人的思想与交流，更何况采取保密措施的力度还与企业的成本息息相关。正因如此，所以法律上对于是否构成商业秘密的认定也并不是要求权利人的保密措施能够百分之百的阻止秘密的泄露，否则也不会需要法律给予保护了。

对于这个问题，《最高人民法院关于审理不正当竞争民事案件应用法律若干问题的解释》第十一条有比较明确的表述可供参考，其中第三款是这样规定的：

“具有下列情形之一，在正常情况下足以防止涉密信息泄漏的，应当认定权利人采取了保密措施：

（一）限定涉密信息的知悉范围，只对必须知悉的相关人员告知其内容；

（二）对于涉密信息载体采取加锁等防范措施；

（三）在涉密信息的载体上标有保密标志；

（四）对于涉密信息采用密码或者代码等；

（五）签订保密协议；

（六）对于涉密的机器、厂房、车间等场所限制来访者或者提出保密要求；

（七）确保信息秘密的其他合理措施。”

这一规定中有两个地方值得注意，一个是“具有下列情况之一”，一个是“在正常情况下足以”，用一个词来概括，那就是法律上对保密措施的最低限度要求是“防君子不防小人”，能防小人当然更好，但达不到也不妨碍商业秘密的构成。说的通俗一点，就是企业要给自己的门上加把锁，让别人知道门内的东西是企业的秘密。

弄清这一点，相信能让许多中小企业主不再觉得商业秘密是那么不可企及，司法解释中所列出的七项保密措施都是企业日常经营中施以适当的注意和防范就可以做到的，更何况法律只是要求做到其中之一。当然，作为权利人，企业本身尽量做到越多越好，毕竟事先的防范要优于事后的补救。

2、可能的泄密途径及相应的措施：

（1）内部员工泄密

在职员工可能无意中泄露商业秘密，也可能受利益驱使，向他人提供企业的商业秘密，员工离职后，也可能泄露在职时获知的商业秘密。

l      向新入职员工发放员工手册，签订入职承诺书，告知其保密义务；

l      限定商业秘密知悉人员的范围，与员工签订保密协议；

l      定期对员工进行保密教育，提高员工的保密意识；

l      与掌握重要秘密的员工签订竞业限制协议。

l      对即将离职者，收回其保管的涉密资料（包括复印件和各种实物），提前从重要岗位上调离，派人接手客户；

l      签订离职承诺书，办理商业秘密载体的交接手续；

l      与离职人员面谈，重申保密义务并及时了解离职者去向及从事的岗位等情况，判断其对本公司利益有否损害，必要时向接收单位发函，告之该离职者在本公司所担任职务及保密义务。

（2）第三人的窃密

企业的商业秘密具有价值性，能为企业带来现实或潜在的竞争优势，出于此点，往往会成为竞争者窃密的对象。

l      建立保密文件的管理、借阅、复制制度；

l      建立废弃文件及载体的销毁制度；

l      对计算机信息系统采取安全防护措施；

l      建立涉密会议的保密及告知制度；

l      在重点区域设置警示和监控系统；

（3）对外活动中商业秘密的流失

对外活动包括外部单位或个人参观、考察；对外合资、合作；对外宣传报道、论文或科技文献发表等，这些过程中都可能发生商业秘密的泄露。

l      对外活动中严格限定商业秘密的知悉范围；

l      对外合资、合作中签订保密合同；

l      对外宣传资料须经保密审查；

l      建立论文或科技成果发表的审查制度；

l      建立外来人员来访、驻留、参观管理制度。

（三）泄密预警和应对

如前所述，再先进的保密措施都不可能保证不泄密，因此就需要建立一套一旦发生泄密事件时的应对制度，确保在发生泄密事故时能及时应对，以损失最小化为原则，以挽救和恢复为首要目标，尽可能减少、减缓商业秘密的流失，保持其秘密性。同时对外追究侵权方的法律责任，补偿泄密给公司造成的损失，对内惩处泄密责任人，防止泄密事故的再次发生。

1、预警

“预警指在危险出现前的警报”（维基百科），由于商业秘密泄密存在不可逆转的特点，因此在事件发生前的预报和警告显得尤为重要。

（1）预报

各涉密人员和部门（项目）负责人作为第一责任人应负起监测责任，一旦在各自涉及的部门或项目中发现商业秘密泄露或可能泄露的，应立即向公司商业秘密管理单位或保密专员通报，必要时同时向企业领导汇报；

（2）调查

保密员接到报告后，应第一时间展开调查，全面调查泄露或可能泄露的商业秘密情况，包括：泄密的对象、是否已被公开或部分公开、侵犯商业秘密的具体手段、泄密所可能造成的损害后果等，并将调查结果及时向企业领导汇报。

（3）初步评估及处置

l      如果尚未泄密但存在可能泄密的情况的，应责成相关人员立即采取保密措施，如涉及人为过失的，追究责任人相应的责任；

l      如果确实存在泄密情况的，保密员及相关法务人员应在最短时间内对泄密事件的发展趋势、对企业可能带来的影响和后果以及企业能够和可以采取的措施等重大事项作出初步的评估，并将评估意见提交企业领导做决策参考。

2、应急

（1）组成紧急情况处理小组

重大泄密事件应组建紧急情况处理小组，小组由商业秘密管理单位会同相关业务部门及外部律师等组成，研究并采取相应的应对策略和措施。

（2）转换保护方式

针对泄密的程度和状况，可考虑采用申请专利或版权登记等方式对已经受到威胁的商业秘密加以保护。

（3）对涉嫌泄密的员工采取调离措施

即将该员工调离原有工作岗位，使其不再接触到公司商业秘密，同时对其加强保密教育，防止泄密的发生或泄密范围的扩大。

（4）对商业秘密获取方发函警告

在必要时对可能获取或已经获取公司商业秘密的侵权方去函，警告其获取的内容属公司商业秘密，其行为侵犯了公司的商业秘密，要求其立即停止侵权行为，并主动与公司寻求和解。

（5）在存在侵权方且侵权方同意支付赔偿的前提下寻求和解

在泄密结果已经发生的情况下，为避免商业秘密泄密范围的扩大、造成进一步的损失，和解是可以优先考虑的方案。在制定和解方案时，要充分考虑侵权方的资产、信誉和同意支付的赔偿金数额等情况，分析和解成功的可能性，制定最佳和解方案，同时充分收集和准备证据，做好采取进一步措施的准备。

3、寻求法律救济

为最后采取的手段，包括向工商行政管理机关举报寻求行政保护、向法院起诉寻求民事保护、向公安机关报案寻求刑事保护等，法律依据主要有《反不正当竞争法》、《刑法》、《最高人民法院、最高人民检察院关于办理侵犯知识产权刑事案件具体应用法律若干问题的解释》等。